Badacze z firmy Kaspersky wykryli trojana mobilnego Shopper, który nęka użytkowników niechcianymi reklamami i zwiększa liczbę instalowanych aplikacji zakupowych – wyprowadzając w pole zarówno użytkowników, jak i reklamodawców. Szkodnik odwiedza sklepy z aplikacjami na smartfonie, pobiera i uruchamia aplikacje, a następnie zostawia w imieniu użytkownika fałszywe recenzje. Wszystko odbywa się bez wiedzy właściciela urządzenia.


W związku z zimowymi wyprzedażami zarówno użytkownicy, jak i właściciele sklepów powinni zachować ostrożność. Wybierając sklep, użytkownicy kierują się w dużym stopniu recenzjami, podczas gdy sprzedawcy zwiększają na tej podstawie swoje budżety na promocję oraz reklamy. Niestety ani jedni, ani drudzy nie mogą całkowicie polegać na tym, co widzą online, ponieważ nowy trojan sztucznie zawyża oceny popularnych aplikacji zakupowych oraz zwiększa liczbę instalacji. Ponadto rozprzestrzenia liczne reklamy, które mogą irytować użytkowników.

 

Trojan Shopper zwrócił po raz pierwszy uwagę badaczy z powodu intensywnego maskowania swoich działań oraz wykorzystywania usługi ułatwień dostępu w systemie Android. Usługa ta pozwala m.in. ustawić opcję odczytywania na głos zawartości aplikacji oraz zautomatyzować interakcję z interfejsem użytkownika – aby ułatwić obsługę osobom z niepełnosprawnościami. Jednak w rękach cyberprzestępców funkcja ta stanowi poważne zagrożenie dla właściciela urządzenia.

 

Po uzyskaniu zezwolenia na korzystanie z usługi szkodnik może posiadać niemal nieograniczone możliwości interakcji z interfejsem systemu oraz aplikacjami. Może przechwytywać dane wyświetlane na ekranie, wciskać przyciski, a nawet symulować gesty użytkownika. Sposób rozprzestrzeniania szkodliwej aplikacji nie jest jeszcze znany, jednak badacze z firmy Kaspersky przypuszczają, że właściciele urządzeń pobierają ją z fałszywych reklam lub nieoficjalnych sklepów z aplikacjami podczas próby uzyskania legalnej aplikacji. Szkodliwa aplikacja ukrywa się pod postacią narzędzia systemowego, aby pozostać niewidoczną dla użytkownika. W momencie odblokowania ekranu aplikacja uruchamia się, gromadzi informacje o urządzeniu ofiary, a następnie wysyła je do serwera kontrolowanego przez cyberprzestępców. Serwer przekazuje w odpowiedzi polecenia do wykonania przez aplikację. W zależności od poleceń aplikacja może:

  • wykorzystać konto właściciela w serwisie Google lub Facebook w celu rejestrowania się w popularnych aplikacjach zakupowych i rozrywkowych, takich jak AliExpress, Lazada, Zalora, Shein, Joom, Likee oraz Alibaba,
  • pozostawiać recenzje aplikacji w Sklepie Play firmy Google w imieniu właściciela urządzenia,
  • sprawdzać uprawnienia do korzystania z usługi ułatwień dostępu. Jeśli zezwolenie nie zostanie udzielone, aplikacja próbuje wymusić włączenie tej funkcji poprzez wyświetlanie fałszywych komunikatów,
  • wyłączyć Google Play Protect – funkcję, która przeprowadza kontrolę bezpieczeństwa aplikacji ze Sklepu Play, zanim zostaną pobrane,
  • otwierać w niewidocznym oknie odsyłacze otrzymywane ze zdalnego serwera,
  • wyświetlać reklamy w momencie odblokowania ekranu urządzenia,
  • pobierać i instalować aplikacje z nieoficjalnych zasobów,
  • otwierać i pobierać reklamowane aplikacje ze Sklepu Play firmy Google.

 

Publikacja: Sebastian Kubiak

Dodaj komentarz

Kod antyspamowy
Odśwież

­